Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Detectadas varias vulnerabilidades importantes en productos QNAP

Fecha de publicación 25/11/2024
Importancia
5 - Crítica
Recursos Afectados
  • Notes Station 3, versiones 2.9.x;
  • QNAP AI Core, versiones 3.4.x;
  • QTS, versiones 5.2.x y QuTS hero, versiones h5.2.x;
  • QuRouter, versiones 2.4.x;
  • QuLog Center, versiones 1.7.x y 1.8.x.
Descripción

Se han detectado múltiples vulnerabilidades en varios productos QNAP de gravedad importante. Una explotación con éxito de estas vulnerabilidades puede poner en riesgo los sistemas. Actualiza a la última versión indicada por el fabricante para cada tipo de producto afectado.

Solución

QNAP ha corregido las diferentes vulnerabilidades detectadas en los diversos productos y recomienda a sus usuarios actualizar a las últimas versiones de firmware disponibles.

  • Notes Station 3, versiones 3.9.7 y posteriores;
  • QNAP AI Core, versiones 3.4.1 y posteriores;
  • QTS, versiones 5.2.1.2930 y posteriores;
  • QuTS hero, versiones h5.2.1.2929 y posteriores;
  • QuRouter, versiones 2.4.3.106 y posteriores;
  • QuLog Center, versiones 1.70.831 y posteriores y 1.8.0.888 y posteriores.

Es fundamental para las empresas mantener los sistemas y aplicaciones actualizados a la última versión de firmware para obtener una mayor protección. 

La exposición de estas vulnerabilidades puede tener graves consecuencias para la compañía, como el robo de información, que puede ser utilizado por los ciberdelincuentes y producir un gran impacto en la reputación de la empresa y a nivel económico. Por ello, es imprescindible mantener el software actualizado para eliminar brechas de seguridad conocidas en las aplicaciones y productos de la empresa.

Detalle

Las vulnerabilidades detectadas y corregidas por QNAP son de gravedad importante. Su explotación exitosa por parte de ciberdelincuentes les puede permitir acceder a los sistemas de manera remota, ejecutar código malicioso, acceder de manera no autorizada a datos confidenciales o de sistema o incluso lanzar ataques de denegación de servicio DoS.

Adicionalmente, se describen otras vulnerabilidades que permiten mediante la falsificación de la solicitud por el lado del servidor (SSRF) y con acceso de administrador, acceder a datos de manera no autorizada o realizar un desbordamiento de búfer con la posibilidad de bloquear procesos o modificar la memoria.
 

Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).

Listado de referencias
Multiple Vulnerabilities in Notes Station 3
Vulnerability in QNAP AI Core
Multiple Vulnerabilities in QTS and QuTS hero
Multiple Vulnerabilities in QuRouter
Vulnerability in QuLog Center
Etiquetas